Czy bank ma prawo wykonać kopię lub skan naszego dowodu osobistego? To pytanie od lat budzi wątpliwości zarówno klientów, jak i samych instytucji finansowych. Temat ponownie znalazł się w centrum uwagi za sprawą niedawnej publikacji Związku Banków Polskich, która przypomniała o obowiązkach wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT).
Stanowisko ZBP jest odpowiedzią na pojawiające się w przestrzeni publicznej wątpliwości dotyczące legalności sporządzania kopii dokumentów stwierdzających tożsamość klientów banków. Jednocześnie dyskusja ta pokazuje, jak istotne jest właściwe zrozumienie relacji pomiędzy obowiązkami regulacyjnymi a zasadami ochrony danych osobowych.
W praktyce problem nie sprowadza się wyłącznie do pytania, czy bank może wykonać skan dowodu osobistego. Znacznie ważniejsze jest ustalenie, kiedy takie działanie jest uzasadnione, na jakiej podstawie prawnej się odbywa oraz jakie obowiązki spoczywają na instytucjach przetwarzających dane klientów.
Dlaczego Związek Banków Polskich zabrał głos w tej sprawie?
Publikacja Związku Banków Polskich została opublikowana w odpowiedzi na pojawiające się interpretacje sugerujące, że wykonywanie kopii dokumentów stwierdzających tożsamość przez banki może być niezgodne z przepisami o ochronie danych osobowych.
ZBP przypomniał, że banki funkcjonują w silnie regulowanym środowisku prawnym i są zobowiązane do realizacji szeregu obowiązków wynikających z ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. 2025 poz. 644).
W szczególności instytucje finansowe muszą:
- identyfikować klientów,
- weryfikować ich tożsamość,
- dokumentować zastosowane środki bezpieczeństwa finansowego,
- monitorować relacje biznesowe,
- przechowywać dokumentację wymaganą przez przepisy prawa.
Z perspektywy banków wykonanie kopii dokumentu stwierdzających tożsamość często stanowi element procesu potwierdzającego prawidłowe przeprowadzenie weryfikacji klienta oraz osoby działającej w imieniu klienta.
Stanowisko ZBP ma więc istotne znaczenie praktyczne, ponieważ przypomina, że obowiązki AML/CFT nie są działaniami fakultatywnymi, lecz wynikają bezpośrednio z przepisów prawa.
Co mówią przepisy AML/CFT o kopiowaniu dokumentów tożsamości?
Podstawą prawną dla działań podejmowanych przez banki jest ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. 2025 poz. 644 – dalej ustawa AML/CFT).
Przepisy przewidują możliwość przetwarzania danych zawartych w dokumentach stwierdzających tożsamość oraz sporządzania ich kopii na potrzeby stosowania środków bezpieczeństwa finansowego.
W praktyce oznacza to, że bank może wykonać kopię lub skan dokumentu między innymi podczas:
- nawiązywania stosunków gospodarczych (relacji biznesowej, np. umowy rachunku bankowego),
- aktualizacji danych klienta,
- przeprowadzania dodatkowej weryfikacji związanej z oceną ryzyka AML/CFT,
Warto jednak podkreślić, że przepisy nie nakazują automatycznego kopiowania każdego dokumentu stwierdzającego tożsamość. Każda instytucja powinna ocenić, czy takie działanie jest uzasadnione i proporcjonalne do realizowanego celu.
Szkolenie AML/CFT dla biur rachunkowych.
Zainteresowany wzięciem udziału w kursie?
Czy bank może skanować dowód osobisty, paszport czy kartę pobytu?
Najkrótsza odpowiedź na pytanie postawione w tytule brzmi: tak.
Jednak samo istnienie podstawy prawnej nie oznacza pełnej dowolności w zakresie przetwarzania danych osobowych.
Bank powinien być w stanie wykazać:
- cel wykonania kopii dokumentu,
- podstawę prawną przetwarzania,
- zakres gromadzonych danych,
- sposób zabezpieczenia informacji,
- okres przechowywania dokumentacji.
Kluczową rolę odgrywa tutaj zasada proporcjonalności oraz minimalizacji danych wynikająca z RODO.
Oznacza to, że instytucja obowiązana nie powinna gromadzić większej ilości informacji, niż jest to niezbędne do realizacji obowiązków wynikających z przepisów prawa.
Sprawa ING Banku Śląskiego S.A. – ważna lekcja dla wszystkich instytucji obowiązanych
Dyskusja dotycząca kopiowania dokumentów stwierdzających tożsamość nie bez powodu budzi tak duże zainteresowanie. Instytucje obowiązane są dziś coraz częściej rozliczane nie tylko z realizacji obowiązków AML/CFT, ale również ze sposobu, w jaki przetwarzają dane osobowe swoich klientów.
Dobrym przykładem jest szeroko komentowana kara nałożona w sierpniu 2025 roku przez Prezesa UODO na ING Bank Śląski S.A.
Choć sprawa nie dotyczyła bezpośrednio legalności wykonywania kopii dokumentów stwierdzających tożsamość na potrzeby AML/CFT, pokazała skalę ryzyka związanego z nieprawidłowym zarządzaniem procesami przetwarzania danych.
Dla rynku finansowego był to wyraźny sygnał, że:
- zgodność z AML/CFT nie zwalnia z obowiązków wynikających z RODO,
- każda operacja na danych osobowych wymaga odpowiedniej analizy,
- procesy powinny być regularnie weryfikowane i aktualizowane,
- organizacje muszą być przygotowane do wykazania zgodności przed organami nadzorczymi.
Sprawa ING Banku Śląskiego S.A. stała się ważnym przypomnieniem, że nawet największe instytucje finansowe nie są wolne od ryzyka regulacyjnego.
Jak pogodzić obowiązki AML/CFT i RODO w praktyce?
Wbrew obiegowym opiniom AML/CFT i RODO nie stoją ze sobą w sprzeczności.
Oba systemy regulacyjne mają wspólny cel – zwiększenie bezpieczeństwa. Różnią się jedynie obszarem, który chronią.
AML/CFT koncentruje się na zwalczaniu przestępstw prania pieniędzy oraz finansowania terroryzmu, natomiast RODO chroni prawa osób, których dane są przetwarzane.
Dobre praktyki stosowane przez instytucje obowiązane obejmują m.in.:
- przeprowadzanie ocen/analiz ryzyka,
- dokumentowanie decyzji dotyczących przetwarzania danych,
- stosowanie odpowiednich zabezpieczeń technicznych,
- regularne przeglądy procedur AML/CFT i ochrony danych,
- szkolenia AML/CFT dla pracowników.
Takie podejście pozwala skutecznie realizować obowiązki ustawowe przy jednoczesnym ograniczaniu ryzyka regulacyjnego.
Najważniejsze wnioski
Możliwość sporządzania kopii dokumentów stwierdzających tożsamość klienta oraz osoby upoważnionej do działania w imieniu klienta przez instytucje obowiązane wynika bezpośrednio z ustawy AML/CFT (art. 34 ust. 4 ustawy AML/CFT).
Nie oznacza to jednak, że każda kopia czy skan dokumentu stwierdzających tożsamość będzie automatycznie zgodna z prawem.
Instytucje obowiązane powinny pamiętać o kilku kluczowych zasadach:
- każda operacja na danych musi mieć podstawę prawną,
- zakres przetwarzania powinien być adekwatny do celu,
- procesy AML/CFT i RODO należy analizować łącznie,
- organizacja musi być gotowa wykazać zgodność swoich działań,
- regularne przeglądy procedur pomagają ograniczać ryzyko regulacyjne.
Sprawa ING Banku Śląskiego S.A. pokazuje natomiast, że właściwe zarządzanie danymi osobowymi jest dziś równie ważne jak realizacja obowiązków związanych z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu.
- Źródła:
- https://uodo.gov.pl/pl/138/3854
- https://www.zbp.pl/aktualnosci/wydarzenia/sporzadzanie-przez-banki-kopii-dokumentow-tozsamosci-klientow?_gl=1*a3z7bb*_up*MQ..*_ga*MTMwOTc3MjY1MC4xNzc5MjYyMDc1*_ga_VLYTTWXB1S*czE3NzkyNjIwNzQkbzEkZzEkdDE3NzkyNjIwODAkajU0JGwwJGgw
Najczęściej zadawane pytania
- Czy instytucja obowiązana (w tym bank) może skanować dowód osobisty bez zgody klienta?
Tak. Jeżeli podstawą przetwarzania są obowiązki wynikające z przepisów prawa, zgoda klienta nie jest wymagana.
- Czy każdy bank może wykonywać kopie dokumentów tożsamości?Tak, jeżeli jest to związane z realizacją obowiązków wynikających z przepisów AML/CFT lub innych regulacji sektorowych.
- Czy RODO zabrania skanowania dowodów osobistych?Nie. RODO nie zakazuje wykonywania kopii dokumentów, ale wymaga odpowiedniej podstawy prawnej oraz przestrzegania zasad minimalizacji danych.
- Dlaczego instytucja obowiązana wykonuje kopię mojego dokumentu stwierdzającego tożsamość?Najczęściej w celu identyfikacji klienta, weryfikacji tożsamości oraz dokumentowania działań wymaganych przez przepisy AML/CFT.
- Czy mogę odmówić wykonania kopii dowodu osobistego?W niektórych sytuacjach odmowa może uniemożliwić instytucji obowiązanej realizację obowiązków ustawowych, a tym samym nawiązanie lub kontynuowanie relacji biznesowej.
- Jakie konsekwencje grożą za nieprawidłowe przetwarzanie danych osobowych?Organizacje mogą narazić się na kary administracyjne, utratę reputacji, roszczenia klientów oraz zwiększone ryzyko operacyjne.
Jestem Mirosława Zachaś-Lewandowska – konsultantka finansowa, audytorka i wykładowczyni. W Walucie Wiedzy uczę, jak skutecznie zarządzać finansami, unikać błędów i osiągać stabilność. Mam 17 lat doświadczenia w instytucjach finansowych i wiem, jakie problemy pojawiają się najczęściej. Moje kursy to praktyczna wiedza i gotowe rozwiązania, które możesz od razu wdrożyć. Zapisz się i przejmij kontrolę nad swoimi finansami!